취약점분석 단계 - (3) Nessus 활용, CVSS score

취약점분석 단계 - (3) Nessus 활용

1. New scan

2. Advance scan

3. scan 결과 확인

취약점 분석 리포트를 보면 공격할 수 있는 취약점을 알려줌

Q. CVSS?

( link : https://nvd.nist.gov/vuln-metrics/cvss/v2-calculator)

# Base score

Attack Vector : 해당 host에 접근할 수 있는 네트워크 대역

Access Complexity : host를 공격해야 하는데 노출된 취약점에 대한 공격방법이 어려운 방식이냐 쉬운 방식이냐

Authentication : 공격하는 데 인증이 필요한가?

Confidential Impact : 데이터 기밀성, 이 공격이 데이터 기밀성을 얼마나 공격하는가

Integrity Impact : 데이터 무결성, 이 공격이 데이터 무결성을 얼마나 공격하는가

Availability Impact : 데이터 가용성, 이 공격이 데이터 가용성을 얼마나 공격하는가

따라서, 취약점 분석 리포트 결과에서 CVSS 점수를 보고 얼마나 critical 공격인지 파악할 수 있다.

보고서 작성시 취약점, 공격법에 대한 언급을 CVSS로 reference 해주면 좋다